Firma GreyNoise, specjalizująca się w analizie ruchu sieciowego, odnotowała gwałtowny wzrost liczby skanów systemów VPN firmy Ivanti. To niepokojący sygnał, zwłaszcza w kontekście niedawnych wydarzeń związanych z bezpieczeństwem tego producenta. Dla organizacji korzystających z rozwiązań Ivanti Connect Secure i Pulse Secure oznacza to konieczność pilnego przeglądu zabezpieczeń i wzmożonej czujności.
GreyNoise raportuje, że 18 kwietnia zaobserwowano ponad dziewięć razy więcej prób połączeń z systemami Ivanti niż zwykle. Do skanowania użyto ponad 230 unikalnych adresów IP — normalnie jest ich mniej niż 30 dziennie. W skali ostatnich 90 dni zaangażowanych było aż 1 004 adresy IP, a najczęściej celem były firmy ze Stanów Zjednoczonych, Wielkiej Brytanii i Niemiec.
Co istotne, obecnie nie zidentyfikowano żadnych nowych luk bezpieczeństwa (CVE) związanych bezpośrednio z tą falą skanowań. Jednak analitycy GreyNoise przypominają, że podobne wzorce aktywności w przeszłości zwiastowały pojawienie się nieznanych wcześniej podatności. Tym samym istnieje realna obawa, że mamy do czynienia z przygotowaniem gruntu pod przyszłe ataki.
Historia, która się powtarza
Systemy Ivanti Connect Secure nie mają łatwej historii, jeśli chodzi o bezpieczeństwo. Na początku 2024 roku firma zmagała się z serią poważnych incydentów, w wyniku których cyberprzestępcy uzyskali dostęp do licznych sieci korporacyjnych. Fala krytyki, jaka wtedy spadła na producenta, dotyczyła nie tylko samych luk, ale także opóźnień w dostarczaniu poprawek bezpieczeństwa.
Choć Ivanti zapewniało, że wyciągnęło wnioski i usprawniło swoje procesy bezpieczeństwa, najnowsze sygnały wskazują, że ryzyko wciąż jest wysokie. Użytkownicy muszą liczyć się z możliwością, że ponownie pojawią się exploity wykorzystujące niezałatane słabości systemu.
Co to oznacza dla rynku?
Obserwowana aktywność jest istotnym sygnałem ostrzegawczym nie tylko dla klientów Ivanti, ale też dla całego rynku VPN i zdalnego dostępu. Ostatnie miesiące wyraźnie pokazały, że infrastruktura zdalna pozostaje jednym z ulubionych celów cyberataków, a każdy sygnał zwiastujący możliwe zagrożenie powinien być traktowany bardzo poważnie.
Organizacje powinny zatem nie tylko stosować się do podstawowych zaleceń — takich jak aktualizacje oprogramowania, monitorowanie logów czy blokowanie podejrzanych adresów IP — ale też rozważyć dodatkowe warstwy ochrony, jak segmentacja sieci czy wdrażanie rozwiązań typu zero-trust.
Wzmożona eksploracja systemów Ivanti Connect Secure przypomina, że w cyberbezpieczeństwie nie ma miejsca na samozadowolenie. Nawet firmy deklarujące poprawę procesów muszą zmagać się z reputacją i skutkami wcześniejszych błędów. W przypadku Ivanti rynek nie wybaczy kolejnej poważnej wpadki — zarówno klienci, jak i partnerzy biznesowi będą znacznie mniej skłonni do zaufania.
